文字:
保护视力色:
[浙江新闻客户端]真相实验室丨这30款APP哪个更安全?省、市消保委做了场比较试验
  • 来源:宁波市市场监管局
  • 时间:2022-07-29 16:51:56
  • 阅读:
  • 浙江新闻客户端2022年7月26日

    在大数据时代背景下,APP的使用遍及人们衣食住行的多个领域。在各类APP为人们生活带来便捷的同时,APP背后的个人信息保护安全问题也日益突出。

    为提升消费者对个人信息安全的重视度,积极推动APP依法合规获取和使用公民个人信息,省消保委联合宁波市消保委委托第三方检测机构,根据《信息安全技术个人信息安全规范》,对医疗健康、旅游交通、时尚购物、金融理财、学习教育等5大类30款APP在个人信息保护方面的情况开展了收集个人信息的合法性、收集个人信息的最小必要、收集个人信息时的授权同意、去标识化处理、个人敏感信息的传输和存储等10个测试方向,27个测试点展开测试。并根据前期测试情况追加选取了10款APP对“个人信息收集的合法性”“个人信息收集的最小必要”进行了补充性测试。

    比较试验结果显示,30款APP中有12款APP完全符合本次测试的技术标准,符合率为40%,大部分APP不符合标准的原因是在个人信息存储、使用中不符合去标识化要求或者在个人信息访问控制中未有相应内部管理规定。加测10款APP中,符合标准的有7款APP,符合率为70%,在信息收集的合法性和最小必要方面表现尚可。并且,下载量大、且企业知名度高的APP,在本次测试中技术标准符合率较高。

    从类别来看,时尚购物和旅游交通类的APP在测试中技术标准符合率相对较高,达57.1%和50%。如时尚购物类的淘特和识货APP,旅游交通类的携程和途牛APP,在本次测试中均符合技术标准。

    学习教育类APP在测试中技术标准符合率相对较低,整体符合率为20%,存在个人信息暴露的风险。如,叫叫APP在比较试验测试中发现,个人信息收集时的授权同意中,应用软件在收集14岁以下儿童的敏感个人信息时,未进行特殊说明或增强式告知。同时,在个人信息的展示限制中,宝贝资料页面个人信息未进行去标识化处理。

    试验发现,多款APP在个人信息保护方面存在两个方面的问题。一方面,是被测试的APP中存在违反个人信息收集的最小必要原则,过多收集个人信息的问题。在收集个人信息的合法性测试方向中,收集合法性要求(不应从非法渠道获取个人信息)的不符合率略高,达20%,可能会造成间接获取时采用非法手段或渠道获取个人信息的不良影响。如:畅途汽车票APP,未在隐私政策中逐一列出所有的收集个人信息的类型、收集方式及其目的,未逐一说明涉及收集个人信息的功能及其所必需收集的个人信息的类型且应用软件存在第三方登录行为,但并未在隐私政策向用户明示其规则。

    另一方面,是被测试的APP中存在个人信息无法以安全方式存储的情况,从而造成信息泄露的问题。在个人信息的展示限制测试方向中,个人信息展示限制要求(涉及通过界面展示个人信息的如显示屏幕、纸面,个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险)不符合率为23.33%。

    对消费者而言,个人隐私数据在APP前台界面中以明文形式显示,会造成恶意软件通过截屏方式造成信息的泄露,同时也可能会发生公共场合下通过摄像头或不怀好意的人背后窥探等方式发生信息泄露。如:悟空租车APP,真实姓名未设置去标识化处理,这个问题导致用户个人信息更容易泄露。

    在个人敏感信息的传输和储存测试方向中,个人敏感信息的传输和储存要求(个人生物识别信息应与个人身份信息分开存储)不符合率达13.33%,这表明敏感信息或生物识别信息在传输或存储中,以明文形式存在,易造成较大风险。如:车来了APP,在本地数据库发现明文存储用户位置信息(包括所在位置经纬度、目的地经纬度及详细地址),导致用户敏感信息更容易泄露。

    宁波市消保委提醒消费者在使用手机APP时注意以下几个方面:

    一是要注意选用安全合规的APP产品和服务,并选择正规有效的渠道进行下载安装,尽量选择规模大、知名度高的企业开发的APP。

    二是要注意认真阅读APP的应用权限和用户协议或隐私政策说明,了解操作注意事项。留意给出的权限提示,不盲目赋予相关应用过高的权限,不允许其收集不合理的个人信息隐私。

    三是要注意培育良好使用习惯,不随意开放和同意非必要的读取权限,不随意输入个人隐私信息,定期维护和清理相关数据,经常检查APP的权限授予情况,及时关闭不必要的授权。

    四是要注意认真应对个人隐私信息被泄露的问题,发现个人信息被泄露问题时,要通过有效手段及时主动维权,必要时向有关部门反映。